Volver al inicio
ContactoIniciar sesión
Centro LegalTérminos del ServicioPolítica de PrivacidadPolítica de CookiesSeguridadDPASLAUso AceptableGDPR
Versión 2.5Última actualización: 25 de enero de 2026

Política de Seguridad

La seguridad de tus datos es nuestra máxima prioridad. Este documento describe las medidas técnicas y organizativas que implementamos para proteger la información en Zyntra CRM.

Cifrado AES-256 en reposoTLS 1.3 en tránsito2FA disponibleSOC 2 Type IIISO 27001RGPD compliant

1. Visión General

En Zyntra CRM implementamos un enfoque de seguridad en múltiples capas que abarca infraestructura, aplicación, datos y procesos. Nuestro programa de seguridad se basa en los principios de:

  • Defensa en profundidad: múltiples capas de protección.
  • Mínimo privilegio: acceso solo a lo estrictamente necesario.
  • Seguridad por diseño: consideraciones de seguridad desde el inicio.
  • Mejora continua: evaluación y actualización constante.

2. Infraestructura Segura

2.1 Hosting y Data Centers

Nuestra infraestructura está alojada en centros de datos de Amazon Web Services (AWS) con las siguientes certificaciones:

  • ISO 27001, 27017, 27018
  • SOC 1, SOC 2, SOC 3
  • PCI DSS Level 1
  • RGPD compliance

Los datos de usuarios europeos se almacenan en la región EU (Frankfurt, Irlanda) por defecto.

2.2 Arquitectura

  • Arquitectura de microservicios aislados.
  • Contenedores con políticas de seguridad estrictas.
  • Redes privadas virtuales (VPC) con segmentación.
  • Load balancers con protección DDoS.
  • CDN global para rendimiento y protección.

3. Protección de Datos

3.1 Cifrado en Reposo

Todos los datos almacenados están cifrados con AES-256:

  • Base de datos: cifrado a nivel de disco y campo sensible.
  • Archivos: cifrado antes de almacenamiento en S3.
  • Backups: cifrados y almacenados en ubicaciones geográficamente distribuidas.
  • Claves: gestionadas con AWS KMS con rotación automática.

3.2 Cifrado en Tránsito

  • TLS 1.3 obligatorio para todas las conexiones.
  • HSTS habilitado con preload.
  • Certificate pinning en aplicaciones móviles.
  • Perfect Forward Secrecy (PFS) implementado.

3.3 Aislamiento de Datos

Los datos de cada cliente están lógicamente aislados mediante identificadores únicos de tenant, garantizando que ningún cliente pueda acceder a datos de otro.

4. Control de Acceso

4.1 Principio de Mínimo Privilegio

El acceso a sistemas y datos se otorga basándose en la necesidad estricta para realizar las funciones laborales.

4.2 Control de Acceso Basado en Roles (RBAC)

  • Roles predefinidos con permisos específicos.
  • Capacidad de crear roles personalizados.
  • Revisión periódica de permisos.
  • Logs de auditoría de cambios de acceso.

4.3 Acceso del Personal

  • Acceso a producción limitado a personal autorizado.
  • Autenticación multifactor obligatoria.
  • VPN corporativa requerida.
  • Sesiones con tiempo límite y bloqueo automático.
  • Revisiones de acceso trimestrales.

5. Autenticación

5.1 Para Usuarios

  • Contraseñas con requisitos de complejidad (mín. 12 caracteres).
  • Autenticación de dos factores (2FA) disponible y recomendada.
  • SSO/SAML para planes empresariales.
  • Tokens de sesión con expiración automática.
  • Protección contra fuerza bruta con rate limiting.

5.2 Gestión de Sesiones

  • Sesiones únicas por dispositivo identificables.
  • Capacidad de cerrar sesiones remotamente.
  • Notificación de nuevos inicios de sesión.
  • Historial de actividad de cuenta.

6. Seguridad de Red

6.1 Protecciones Implementadas

  • Web Application Firewall (WAF).
  • Protección DDoS en capa 3, 4 y 7.
  • Sistemas de detección de intrusiones (IDS).
  • Sistemas de prevención de intrusiones (IPS).
  • Segmentación de red con firewalls internos.

6.2 Seguridad de API

  • Autenticación mediante API keys o OAuth 2.0.
  • Rate limiting por endpoint y por cliente.
  • Validación de entrada estricta.
  • Logs de todas las llamadas API.

7. Monitorización

7.1 Monitorización Continua

  • Monitorización 24/7/365 de infraestructura.
  • Alertas automáticas ante anomalías.
  • Dashboards de seguridad en tiempo real.
  • Correlación de eventos de seguridad (SIEM).

7.2 Logging y Auditoría

  • Logs centralizados e inmutables.
  • Retención de logs según política (12-24 meses).
  • Logs de acceso, cambios y eventos de seguridad.
  • Auditorías internas periódicas.

8. Respuesta a Incidentes

Mantenemos un plan de respuesta a incidentes documentado que incluye:

  1. Detección: Identificación del incidente mediante monitorización.
  2. Análisis: Evaluación de alcance e impacto.
  3. Contención: Aislamiento para prevenir propagación.
  4. Erradicación: Eliminación de la causa raíz.
  5. Recuperación: Restauración de servicios normales.
  6. Lecciones aprendidas: Documentación y mejoras.

Nuestro equipo de seguridad está disponible 24/7 para responder a incidentes críticos.

9. Notificación de Brechas

Compromiso de Notificación: En caso de una brecha de seguridad que afecte a tus datos personales, te notificaremos sin dilación indebida y, en cualquier caso, dentro de las 72 horas siguientes a tener conocimiento de la misma.

9.1 Proceso de Notificación

  • Notificación a la autoridad de protección de datos (AEPD) en 72 horas.
  • Comunicación directa a los usuarios afectados.
  • Descripción de la naturaleza de la brecha.
  • Datos afectados y número de usuarios impactados.
  • Medidas adoptadas y recomendaciones para usuarios.

10. Cumplimiento

10.1 Certificaciones y Estándares

  • SOC 2 Type II (en proceso).
  • ISO 27001 (planificado).
  • RGPD / LOPDGDD.
  • PCI DSS para procesamiento de pagos (via Stripe).

10.2 Auditorías

  • Auditorías internas trimestrales.
  • Auditorías externas anuales.
  • Pentests realizados por terceros especializados.
  • Programa de bug bounty (próximamente).

11. Seguridad del Personal

  • Verificación de antecedentes para nuevas contrataciones.
  • Formación obligatoria en seguridad y privacidad.
  • Políticas de escritorio limpio y pantalla bloqueada.
  • Acuerdos de confidencialidad (NDA).
  • Procedimientos de offboarding con revocación inmediata de accesos.

12. Continuidad del Negocio

12.1 Backups

  • Backups automáticos cada 4 horas.
  • Retención de 30 días de backups diarios.
  • Backups almacenados en múltiples regiones.
  • Pruebas de restauración mensuales.

12.2 Recuperación ante Desastres

  • Plan de recuperación documentado y probado.
  • RPO (Recovery Point Objective): 4 horas.
  • RTO (Recovery Time Objective): 8 horas.
  • Failover automático entre zonas de disponibilidad.

13. Gestión de Vulnerabilidades

  • Escaneos de vulnerabilidades automatizados semanales.
  • Pentests externos anuales.
  • Parches críticos aplicados en 24-48 horas.
  • Programa de divulgación responsable.
  • Monitorización de CVEs relevantes.

14. Contacto de Seguridad

Equipo de Seguridad

Para reportar vulnerabilidades o incidentes de seguridad:

security@zyntracorp.com

Clave PGP disponible en /security.asc